Brakeman Fehler - Unescaped Modell Attribut in der Nähe von

Question

Ich bin viel Störung zu erhalten wie folgt

Unescaped model attribute near line 20: show_errors(Objective.new(objective_params), :name) 

Erweiterte Ansicht

Dies ist mein Code

module ApplicationHelper 
    # Error Helper for Form 
    def show_errors(object, field_name) 
    if object.errors.any? && object.errors.messages[field_name][0].present? 
     "<label class='text-error'>" + object.errors.messages[field_name][0] + "</label>" 
    else 
     return "" 
    end 
    end 

end 

Answer 1

Von Brakeman Cross Site Scripting Dokumente:

Standardmäßig wird Brakeman auch warnen, wenn ein Parameter oder ein Cookie-Wert als Argument für eine Methode verwendet wird, deren Ergebnis unescaped in eine Ansicht ausgegeben wird.

Zum Beispiel:

<%= some_method(cookie[:name]) %> 

Diese Warnung wirft wie:

Unescaped cookie value near line 5: some_method(cookies[:oreo]) 

jedoch das Vertrauensniveau für diese Warnung wird schwach sein, weil sie nicht direkt auf den Cookie-Wert ausgibt, ist.

Die letzte Aussage kann wichtig sein. Wenn Sie sicher sind, dass Ihr Wert in maskiert angezeigt wird, könnte diese Warnung möglicherweise ignoriert/deaktiviert werden.